Routing di base su Cisco ASA (2)

Un firewall, e gli ASA non fano eccezione, ha sempre delle buone capacità di routing, considerato che viene usato per interconnettere diverse subnet. Vediamo come ASA costruisce la propria tabella di routing.

Tabelle di routing

Le decisioni d instradamento vengono prese da router e firewall sulla base di tabelle di routing.

Nel caso del routing statico, le tabelle sono crate sulla base di configurazioni manuali. Non esiste dunque la possibilità, normalmente, di modificarle senza un intervento manuale. Questo va bene per reti di piccole dimensioni, può diventare rapidamente ingestibile con il crescere dell’organizzazione.
Nel caso del routing dinamico le tabelle vengono continuamente aggiornate a seconda della disponibilità dei percorsi di rete da specifiche classi di programmi che rispondono al nome di protocoli di instradamento (o protocolli di routing).

Protocolli di routing

Esistono molti diversi protocolli di routing, che possono a loro volta essere suddivisi in due grandi categorie:  Distance Vector e Link State.

Distance-Vector: trasmettono informazioni sulla propria tabella di routing ai router adiacenti. inviano tutta o parte della tabella di routing ai soli router vicini. In sostanza un router viene a conoscere una direzione (gateway di uscita) ed una distanza (nei casi più semplici, come il RIP, il numero di hop, di salti per raggiungere la destinazione). L’insieme di direzione e distanza formano un vettore, da cui il nome.

Link-State: inviano informazioni sulla topologia della rete agli altri router che usano lo stesso tipo di protocollo di routing. In sostanza la rete viene definita come un grafo pesato, fatto di nodi, connessioni e costi di connessione; questi elementi costituiscono per ogni router un database di connessioni. La rappresentazione della rete che se ne ottiene è più accurata, ma al costo di un maggior carico computazionale per i router coinvolti.

ASA e protocolli di routing.

Asa supporta questi protocolli di routing:

EIGRP: versione Enhanced dell’IGRP, protocollo distance vector proprietario Cisco,  con cui si integra.

OSPF: un protocollo link state sviluppato da IETF, disponibile in diverse implementazioni (anche open source) e largamente supportato dagli apparati di rete di diversi brand.

RIP:  protocollo distance vector, molto diffuso e  noto per la sempiicità di implementazione. Metrica basata su hop count (numero di salti che ci separano dalla destinazione, massimo 15). Di solito si usa la versione 2 (la versione 1 aveva delle limitazioni piuttosto serie: non inviando le maschere di rete assieme alle rotte riesce a gestire soltanto reti classful, vale a dire considera una sola rete due subnet diverse com 10.100.0.0/24 e 10.200.0.0/24).

Border Gateway Protocol (BGP): usato per scambiare informazioni tra AS (sistemi autonomi) di entità diverse, ad esempio tra ISP differenti.

Metriche  e distanze amministrative. 

Su un router, o un firewall, possono coesistere configurazioni di rotte statiche e protocolli di routing diversi.  Le une e gli altri possono fornire indicazioni sulle stesse reti di destinazione, e queste indicazioni debbono essere valutate dal router per essere inserite nella tabella di routing, che sarà poi l’elemento in base al quale vengono prese le decisioni su cosa inviare dove.  Ai diversi protocolli sono associate diverse distanze amministrative, che indicano in sostanza la preferenza che viene data, nella scelta delle rotte, ad un protocollo o ad un altro.

Di seguito una tabella che indica le diverse distanze amministrative di una rotta associate al protocollo che la propone (per chi volesse approfondire l’argomento, Cisco propone un ottimo documento a questo indirizzo.

Route Source Distanza Amministrativa di Default 
Connected interface 0
Static route 1
Enhanced Interior Gateway Routing Protocol (EIGRP) summary route 5
External Border Gateway Protocol (BGP) 20
Internal EIGRP 90
IGRP 100
OSPF 110
RIP 120

La tabella ci indica i criteri con cui il firewall sceglierà la rotta, tra quelle fornite da diversi protocolli di routing,  per raggiungere una determinata rete.

Ogni singolo protocollo può inoltre essere a conoscenza di diversi percorsi per raggiungere la stessa rete. A questi percorsi è associata una metrica, che indica quale è il percorso più breve (più basso il valore, minore la distanza). All’interno del singolo protocollo, la rotta con la metrica migliore è quella che viene proposta per l’inserimento nella tabella di routing. Se due rotte hanno stessa metrica, vengono proposte tutte e due, ed il router le userà bilanciando il carico verso la destinazione (vedi ECMP Equal Cost Multi Path routing ).

Se due rotte hanno destinazioni che si sovrappongono ma diverse prefix length (ad esempio 10.10.20.0./24 e 10.10.0.0/16)  vengono inserite nella tabella di routing tutte e due, ed il pacchetto viene instradato  sulla base della logica di inoltro.

La decisione su quale rotta statica inserire nella tabella di routing viene determinata in questa maniera:

le rotte connesse (reti alle quali l’ASA è direttamente connesso con una propria interfaccia) hanno la precedenza su tutte le altre (statiche e dinamiche).

Le rotte configurate staticamente hanno distanza amministrativa di default pari a 1, vale a dire hanno precedenza su tutte quelle apprese da protocolli di routing.
Possiamo però configurare rotte statiche con distanze amministrative più alte. In questi casi, se la distanza amministrativa è la stessa di un protocollo di routing, la rotta statica viene comunque privilegiata.

Le rotte statiche hanno precedenza sulla default route.

Le rotte con prefisso più lungo vengono preferite a quelle con lunghezza di prefisso più breve.

Se ad esempio abbiamo una rotta 10.10.0.0/16 con gateway 192.168.100.1 e 10.10.20.0/24 con gateway 192.168.100.2, un pacchetto con destinazione 10.10.20.200 verrà inviato al gateway 192.168.100.2 mentre uno con destinazione 10.10.0.100 sarà inviato al gateway 192.168.100.1.

In sostanza, dove abbiamo informazioni più specifiche riguardanti una rete (mask /24), queste saranno preferite a quelle più generali (mask /16).

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. Usiamo i cookies per ragioni tecniche. Teniamo in alta considerazione la tua privacy.

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi